Vertragspartner bei externem Datenschutzbeauftragten

Aus der Reihe Fragen & Antworten hier mal wieder eine Frage, die mir mehrfach so oder ähnlich im Kontext mit der DSGVO gestellt wurde:

Wir haben folgende Frage: Muss der Vertrag mit einem Datenschutzbeauftragten persönlich geschlossen werden oder kann als Vertragspartner auch das Unternehmen eingesetzt werden und dem Vertragspartner wird lediglich ein Ansprechpartner genannt.

Während es umstritten ist (auch unter der DSGVO), ob eine juristische Person (z.B. eine GmbH) zum „Datenschutzbeauftragten“ benannt werden kann, ist rechtlich UNumstritten, dass ein Unternehmen einen Vertrag über die Erbringung von Leistungen des Datenschutzbeauftragten mit einer juristischen Person, also z.B. einem Unternehmen, abschließen kann. Das ist also rechtlich zulässig.

Wenn man dann jedoch weiteren juristischen Streitigkeiten aus dem Weg gehen möchte, sollte dann eine „Benennung“ einer natürlichen Person, also eines bestimmten Menschen (und ggf. auch ein Vertreter) zum Datenschutzbeauftragten erfolgen.

Und der Vertrag sollte dann vielleicht auch beinhalten, dass ein anderer Beschäftigter des Dienstleisters/Vertragspartners zum Datenschutzbeauftragten benannt wird, wenn der amtierende Datenschutzbeauftragte das Unternehmen des Vertragspartners wechselt. Dieser „Beraterwechsel“ sollte im Sinne beider Parteien vertraglich geregelt sein.

Für rechtlich sauberer würde ich persönlich ja die andere Auffassung halten, nämlich die Bestellung eines Unternehmens zum Datenschutzbeauftragten. Und das halten die europäischen Aufsichtsbehörden offenbar auch für möglich. Denn es gibt ein Arbeitspapier der Art. 29 Gruppe zu „Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“)“ – WP 243 rev.01 (PDF). Und da gibt es auch eine Passage, in der die Art. 29 Gruppe sich zur Möglichkeit der Bestellung von juristischen Personen zum Datenschutzbeauftragten äußert – zumindest am Rande. Dort steht:

Die Funktion eines DSB kann auch auf Grundlage eines Dienstleistungsvertrags ausgeübt werden, der mit einer natürlichen oder juristischen Person geschlossen wird (…)

Im Falle einer juristischen Person sei es

unverzichtbar, dass jedes Mitglied der Einrichtung, das die Funktionen eines DSB wahrnimmt, sämtliche in Abschnitt 4 der DS-GVO genannten Anforderungen erfüllt (sodass Interessenkonflikte ausgeschlossen werden können).

Die Art. 29 Gruppe geht dann weiter davon aus, dass sozusagen ein „DSB-Team“ gebildet werden kann. Die Art. 29 Gruppe empfiehlt aber, eine klare Aufgabenverteilung innerhalb des DSB-Teams vorzusehen und eine einzelne Person als „primären Ansprechpartner“ festzulegen, der zugleich für den jeweiligen Kunden „zuständig“ ist.

Das ist ein recht „progressiver Ansatz“, den ich grundsätzlich fachlich auch für sinnvoll halte.

Nur wird diese Auffassung in der Kommentarliteratur zur DSGVO nicht unbedingt geteilt. Daher wäre der sicherer Weg derzeit der der Benennung einer natürlichen Person zum Datenschutzbeauftragten.

Ähnliche Beiträge